Isso acabou sendo algum tipo de bug estranho com o pfSense 1.2.3 - foi corrigido em versões posteriores.
Eu tenho os seguintes dispositivos no vlan93 na minha rede:
pfsense (192.168.93.1)
core-sw1 (192.168.93.2)
edge-sw1 (192.168.93.3)
pf-switch (192.168.93.100)
devices (192.168.93.120)
Conexões físicas abaixo (todas as conexões são marcadas, exceto para dispositivos pf-switch →):
+----------+ +------------+ +------------+ +-------------+ +----------+
| | | | | | | | | |
| pfsense <--+--> core-sw1 <--+--> edge-sw1 <--+--> pf-switch <--+--> devices |
| | | Cisco | | Cisco | | BNT | | |
+----------+ +------------+ +------------+ +-------------+ +----------+
Os seguintes dispositivos podem conversar entre si:
p
c e f
p o d - d
f r g s e
s e e w v
+->can talk+-->e - - i i
| to n s s t c
| s w w c e
| e 1 1 h s
|
| pfsense - ✓ ✕ ✕ ✕
|
+-+ core-sw1 ✓ - ✓ ✓ ✓
edge-sw1 ✕ ✓ - ✓ ✓
pf-switch ✕ ✓ ✓ - ✓
devices ✕ ✓ ✓ ✓ -
Eu verifiquei o pfSense e ele não está enviando nenhuma resposta ARP para ou anterior a borda-sw1, nem possui entradas ARP para esses dispositivos.
Alguma ideia do que observar? Estou suspeitando de pfSense, mas não tenho idéia de onde ir a partir daqui.
Versões: pfsense: 1.2.3-RC1-pfSense core-sw1: 12.2 (44) SE5 borda-sw1: 12.2 (53r) SE
Editar: Quando eu uso um roteador Cisco 2600 em vez de pfSense com a mesma configuração, tudo funciona bem.
Pode ser possível que edge-sw1 esteja filtrando-o. Como você descobriu que não estava enviando nada?
Um host normalmente enviará um pacote ARP sempre que precisar passar um pacote para um host local, mas não tiver seu endereço MAC (na tabela ARP). Portanto, supondo que esses dispositivos (ou suas interfaces de gerenciamento, conforme aplicável) estejam todos na mesma sub-rede, o pfsense enviará uma solicitação ARP sempre que tentar se comunicar com uma nova.
Eu verificaria as sub-redes. Se estiver tudo bem, eu espelharia a porta no primeiro switch ao qual o pfsense está conectado e monitorará o ARP.
O ARP não deve ser sensível ao número de switches pelos quais passa.